Trivy가 다시 공격받다: 광범위한 GitHub Actions 태그 변조로 비밀정보 유출

• 공식 GitHub Action이 태그 강제 업데이트로 변조되어 악성코드가 배포된 공급망 공격 발생
• 공격자는 76개 중 75개 태그를 악성 커밋으로 교체, 약 1만 개 이상의 워크플로가 영향을 받음
• 변조된 스크립트는 비밀정보 수집·암호화·유출의 3단계로 동작하며, TeamPCP Cloud stealer 코드가 포함됨
• 감염된 태그는 여전히 활성 상태로, @0.35.0 또는 특정 commit SHA만 안전한 것으로 확인됨
• 모든 자격 증명 교체와 commit SHA 고정 사용이 필수이며, Docker Hub 이미지도 동일한 오염이 확인됨

Trivy GitHub Actions 공급망 공격 개요

• Trivy의 공식 GitHub Action(aquasecurity/trivy-action)이 공격자에 의해 태그 강제 업데이트(force-push) 방식으로 변조되어 악성코드가 배포된 사건
• 공격자는 76개 버전 태그 중 75개를 악성 커밋으로 교체, CI/CD 파이프라인에서 자동 실행되도록 조작
• 약 10,000개 이상의 GitHub 워크플로 파일이 해당 액션을 참조하고 있어 피해 범위가 광범위함
• 감염된 태그는 여전히 활성 상태이며, @0.35.0만이 유일하게 안전한 버전으로 확인됨
• Socket은 19:15 UTC부터 실시간으로 182건의 악성 GitHub Action 이벤트를 탐지, Backdoor, Infostealer, Reconnaissance 유형으로 분류

공격의 원인과 진행 방식

• Trivy 유지관리자에 따르면, 이번 공격은 쓰기 권한이 있는 자격 증명 탈취로 인해 발생
  • 3월 초 발생한 이전 침해에서 CI 환경의 비밀이 유출되었으며, 회전(rotating) 과정이 완전하지 않아 새 자격 증명 일부가 공격자에게 남음
  • 공격자는 이 자격 증명을 이용해 GitHub 자체 취약점 없이 인증된 태그 업데이트를 수행
• 공격자는 브랜치 푸시나 릴리스 생성 대신, 기존 태그를 강제로 새 커밋으로 덮어씀
  • 각 태그는 원래 커밋의 메타데이터(작성자, 이메일, 타임스탬프, 커밋 메시지)를 복제해 정상처럼 보이게 위조
  • 단, 원본 커밋은 GPG 서명되어 있었으나 공격자의 커밋은 서명 누락, 부모 커밋 날짜가 2026년으로 불일치
• GitHub의 Immutable Release 표시가 있더라도, 공격자가 악성 상태로 게시 후 잠금 처리했을 가능성 있음
  • 따라서 “Immutable” 배지에 의존하지 말고 commit SHA 고정(pinning) 방식만이 안전한 소비 방법임

태그 변조 구조

• 공격자는 master 브랜치의 최신 커밋(57a97c7e)을 기반으로 새 커밋을 생성
  • entrypoint.sh 파일만 악성 버전으로 교체하고 나머지 파일은 그대로 유지
  • 각 태그는 원래의 PR 번호, 커밋 메시지, 작성자 정보를 그대로 복제해 위조
• GitHub 릴리스 페이지에서 “0 commits to master since this release”로 표시되는 경우, 변조된 태그의 시각적 지표로 확인 가능
• 0.35.0 태그만 변조되지 않은 이유는 이미 master HEAD를 가리키고 있었기 때문

악성 페이로드 구조

• 변조된 entrypoint.sh는 총 204줄이며, 4~105줄에 Infostealer 코드, 이후 정상 Trivy 스캔 코드 포함
• 악성코드는 세 단계로 구성됨
  • 1단계: 수집(Collection) — 런너 프로세스 메모리 및 파일시스템에서 비밀정보 추출
  • 2단계: 암호화(Encryption) — AES-256-CBC 및 RSA-4096으로 수집 데이터 암호화
  • 3단계: 유출(Exfiltration) — 공격자 제어 도메인 또는 피해자 GitHub 계정으로 전송

• 1단계: 비밀정보 수집

  • GitHub Actions 런너 프로세스(Runner.Worker, Runner.Listener, runsvc, run.sh)의 환경변수를 /proc/<pid>/environ에서 읽어 env, ssh 키워드 포함 항목을 추출
  • GitHub 호스팅 런너에서는 Python 기반 메모리 덤프 스크립트를 sudo로 실행, Runner.Worker 프로세스 메모리에서 "isSecret":true 패턴을 검색
  • 자체 호스팅 런너에서는 TeamPCP Cloud stealer로 식별되는 파일시스템 크리덴셜 수집기 실행
    • SSH 키, AWS/GCP/Azure 자격 증명, Kubernetes 토큰, Docker 설정, DB 비밀번호, 환경파일, TLS 키, VPN 설정, Webhook URL, 지갑 키 등 광범위한 대상 포함

• 2단계: 암호화

  • openssl rand로 32바이트 세션 키 생성 후, AES-256-CBC로 데이터 암호화
  • 세션 키는 RSA-4096 공개키로 OAEP 패딩을 적용해 암호화
  • 암호화된 데이터(payload.enc)와 세션 키(session.key.enc)를 tpcp.tar.gz로 묶음

• 3단계: 데이터 유출

  • 1차 채널: https://scan[.]aquasecurtiy[.]org로 HTTPS POST 전송 (aquasecurity 오타 도메인 사용)
  • 2차 채널: 실패 시 피해자의 GitHub Personal Access Token을 이용해 tpcp-docs라는 공개 저장소 생성
    • 릴리스 자산으로 tpcp.tar.gz 업로드 → 공격자는 GitHub 검색으로 해당 저장소를 찾아 데이터 수집
  • GitHub 인프라를 이용해 방화벽 우회를 시도, 탐지 회피 가능성 높음
  • 마지막으로 임시 파일 삭제, 흔적 최소화

공격자 및 배후

• 악성 코드 내 주석에 “TeamPCP Cloud stealer” 명시
  • TeamPCP(DeadCatx3, PCPcat, ShellForce)는 클라우드 네이티브 환경 공격 그룹으로, Docker API·Kubernetes·Redis·Ray 대시보드 취약점 악용 사례 존재
  • 2026년 2월 Flare와 The Hacker News에서 랜섬웨어·데이터 탈취·암호화폐 채굴 캠페인으로 보고된 바 있음
• Solana 검증자 키 및 암호화폐 지갑 수집 기능은 재정적 동기와 일치

대응 및 권고

• 모든 Trivy Action 버전 태그 사용 중단, 오직 commit SHA 57a97c7e7821a5776cebc9bb87c984fa69cba8f1 또는 태그 0.35.0 만 사용
• 감염된 파이프라인은 완전한 비밀 유출로 간주, 모든 클라우드 자격 증명·SSH 키·API 토큰·DB 비밀번호·Docker 토큰 즉시 교체 필요
• GitHub 조직 내 tpcp-docs 저장소 존재 여부 점검 및 3월 19일 19:00 UTC 이후 실행된 trivy-action 로그 검토 권장

침해 지표 (IOCs)

• 네트워크 지표: scan[.]aquasecurtiy[.]org
• 파일 해시: 18a24f83e807479438dcab7a1804c51a00dafc1d526698a66e0640d1e5dd671a (entrypoint.sh)
• 감염된 GitHub Actions: aquasecurity/trivy-action@0.0.1 ~ @0.34.2 전 버전 포함 (총 75개 태그)

추가 업데이트 (3월 22일)

• Docker Hub에서도 Trivy 이미지(0.69.4, 0.69.5, 0.69.6, latest) 가 동일한 Infostealer 페이로드로 오염된 사실 확인
• latest 태그가 악성 이미지로 지정되어 노출 기간 동안 사용자에게 배포됨
• 관련 상세 내용은 Socket의 별도 보고서 *“Trivy Docker Images Compromised”*에서 확인 가능